A pesar las costosas y «traumáticas» experiencias que ya han vivido algunas instituciones públicas, la ciberseguridad aún no parece ser una de las prioridades. Analizamos los retos actuales y aportamos recomendaciones dirigidas a las administraciones locales y expertos en ciberseguridad.

La transformación digital de las administraciones públicas ha sido vendida como el «Monte del Olimpo» de las ciudades. Las oportunidades que proporciona una smart city son, ciertamente, infinitas. Innumerables chips y sensores que permiten localizar objetos y desplazar a vehículos, medir todo lo medible, la polución, el comercio, el ocio o las transacciones, pero también las densidades, los flujos y los intercambios.

Un paraíso definido por Fabien Eychenne como la ville 2.0 complexe et familière. Inclusive el ambicioso plan de reconstrucción económica de la Comisión Europea, el Next Generation European Union, que supone doblar el presupuesto de la Unión, reduce a dos las prioridades estratégicas y económicas de los 27 para la próxima década: el Green New Deal y la transformación digital.

¿Pero cuáles son las murallas actuales (ya no es una única muralla como en el Medievo, sino que son multitud de ellas) que deben protegen la smart city? La ciudad, cada vez más metrópolis y donde la trama urbana manda sobre el límite administrativo, requiere de servicios tecnificados y se ve exigida por una ciudadanía que demanda una calidad de vida que ya solo puede ser ofrecida por la implantación masiva de tecnologías como el IoT, el Machine Learning, el despliegue del 5G o la domótica.

Las puertas de entrada del «enemigo»

Si nos referimos a la seguridad de las metrópolis, ¿cuáles serían, a día de hoy, los asedios de infantería y caballería en las ciudades modernas? Parece evidente que, en un mundo con más de 50 mil millones de dispositivos conectados, interconectados e interdependientes entre ellos, y con sistemas complejos de gestión e información, las puertas de entrada del enemigo acaban teniendo forma de software malicioso oculto en un archivo recibido como mail spam y que es capaz, como el WannaCry, de infectar a 230.000 PC’s en 150 países diferentes en tan solo un día.

A pesar de ello, y de las dolorosas, costosas y traumáticas experiencias que ya han vivido instituciones públicas, la ciberseguridad aún no aparece como una de las prioridades que las administraciones locales promueven incorporar, ni de la que sus políticos ni tampoco de las políticas llevadas a cabo, formen parte como debieran de los planes de mandato o gobierno. O, por lo menos, no al nivel que exige una ciudad con aspiración a moverse sostenida por ésa necesaria y tentadora revolución digital.    

El ataque a instituciones, normalmente, se produce por parte de individuos, grupos u organizaciones a la búsqueda de un lucro, de monetizar la información obtenida y con el objetivo de conseguir rescates si la institución atacada quiere recuperar la normalidad en un período relativamente corto de tiempo.

Las consecuencias de ésos ataques, en realidad «secuestros», son múltiples y de enormes costes. Durante el 2021, la lista de instituciones públicas ciberatacadas son muy diversas: el Servicio Público de Empleo Estatal (SEPE), la Universidad Autónoma de Barcelona (UAB) o el Área Metropolitana de Barcelona (AMB) son algunos ejemplos de ello.

Además, se destacan dos casos muy graves como fueron el Hospital Universitario de Düsseldorf, en septiembre 2020, que provocó la muerte de una mujer que debía ser operada urgentemente y, en verano de 2021, el distrito de Anhalt-Bitterfeld en el estado de Sajonia-Anhalt (Alemania), con una población de más de 160.000 habitantes, donde un ataque obligó a la intervención del ejército alemán durante siete semanas.

La necesidad de anticiparse a los ciberataques

Pero no es necesario atizar la alarma social destacando casos que, siendo reales y cada vez más frecuentes, podrían hacernos pensar que son por los que, necesariamente, sufrirán todas las administraciones. La gravedad de los ataques será, efectivamente, la anécdota, pero sería un error plantearnos más protección sólo si nos ceñimos a la probabilidad de sufrir un gran ataque, en lugar de optar por una posición más prudente que nos permita anticiparnos a problemas bajo la premisa que, tarde o temprano, todas las administraciones van a ser víctimas de un ataque premeditado.

La simple idea que nuestros datos, imprescindibles para cualquier administración, puedan ser objeto de mercadeo, provocaría una pérdida de confianza en las instituciones que supondría una merma en nuestro sistema del bienestar (sanitario, educativo y social).

Hay tendencias que nos indican la vulnerabilidad y el riesgo que soportarán (y, de hecho, ya están soportando) las administraciones públicas locales. El profesor de la Universidad de Maryland Donald F.Norris, nos indica algunas razones de ello; en primer lugar, porque existen muchas instituciones, en EEUU son 90.075, y cada una de ellas almacena gran cantidad de información confidencial, información con la cual se podría comerciar, vender datos, pedir rescates, etc…

En segundo lugar porque las administraciones locales, en general, son instituciones mal defendidas, a veces por desconocimiento y otras por la limitación o las restricciones presupuestarias de los propios gobiernos locales, que les impide ejecutar grandes inversiones de última generación en ciberseguridad. Y, finalmente, porque los gobiernos locales se esfuerzan en subir al carro de las ‘smart cities’, y ello obliga a tener muchos dispositivos conectados, IoT y la incorporación de tecnologías, circunstancia que podría favorecer ataques que limitaran de forma efectiva el funcionamiento de la ciudad.

Por todo ello, el sentido común nos obliga a prevenir y, llegado el caso a mitigar la posibilidad de ataques. ¿Y que deberían proteger las administraciones públicas locales en primera instancia? Fundamentalmente 5 aspectos: la información tal como gestión de citas previas, archivos, expedientes o documentos; datos personales de cualquier tipo, usuari@s, beneficiari@s, trabajador@s, empresas o autónom@s; las aplicaciones; los servicios (transporte, sanidad, educación…); y los sistemas, los ordenadores en red que procesan una información, por ejemplo en el caso de las agencias tributarias.

Recomendaciones

Algunas de las recomendaciones dirigidas a las administraciones locales que los expertos en ciberseguridad plantean son cambios que suponen modificar aspectos organizativos de la institución más que tecnológicos. 

Conciencia

Lo primero que se debería hacer es tomar conciencia de la importancia de la ciberseguridad por parte de los responsables políticos, a partir de la toma de decisiones que corresponden a las administraciones locales y que están directamente vinculadas a aspectos de la propia organización en la administración pública como son, por ejemplo, disponer de oficinas o unidades identificables dentro de la administración dedicadas específicamente a la ciberseguridad. Y que sean, éstas, las últimas responsables de cualquier decisión que se deba tomar relativa a aspectos vinculados a la seguridad. Una toma de decisiones que no debería estar dividida sino, al contrario, centralizada. El hecho que existan unidades que se puedan identificar como las responsables, no debe condicionar la decisión sobre si el servicio se desarrolla de forma internalizada –con recursos propios- como si se externaliza –con proveedores externos-.

Contar con personal específico

Una segunda recomendación tiene que ver con la dotación de personal específico en esta materia que tenga la capacidad, no solo de resolver o prevenir ciberataques, sino de comunicar dentro y fuera de la administración un mensaje transparente sobre la gestión que se desarrolla, así como la necesaria accountability. Y la dotación de personal tiene que ver con la composición de los organigramas de la administración como con la relación de puestos de trabajo contratando nuevos perfiles en las convocatorias de las plazas a proveer (funcionari@s, interin@s, laborales, directiv@s, etc…).

Pero también tiene que ver con la formación tecnológica de capital humano del que ya se dispone, invirtiendo en los planes de formación desarrollados por los departamentos de recursos humanos. La cibertecnología no es una cuestión relativa solo a tecnólogos, sino que todo el personal debe tener conocimientos mínimos (se podría incluir en la formación en seguridad y prevención de riesgos laborales, por ejemplo).

Prevención y seguimiento

La tercera de las recomendaciones es la relativa a los procesos de la administración. Se deben atender a cuestiones preventivas y de seguimiento que comporten, obligatoriamente, sesiones plenarias o sesiones en comisión sobre todo aquello que afecte a la ciberseguridad en la administración pública local. Tanto a nivel interno, organizativo, como en todo aquello que esté relacionado con los servicios públicos que la administración provee. En éste apartado también se debe plantear aprobar planes, políticas y proyectos destinados a fortalecer la ciberseguridad.

Presupuesto

La cuarta recomendación es la financiera/competencial. Los elevados costes que se podrían derivar de una buena política de ciberseguridad, obligan a compartir con otras instituciones o gobiernos locales los gastos derivados de la ciberseguridad dotándolos en los presupuestos de forma inequívoca y con partidas nominales que supongan un gasto corriente más. Las áreas metropolitanas deberían asumir esa competencia.

Cooperación y apuesta por la transformación digital

Finalmente es recomendable desenvolverse más allá de la propia institución, cooperando con otras organizaciones, firmando convenios de colaboración con las universidades y centros de investigación así como organizando eventos periódicos sobre gobiernos locales y ciberseguridad para atender, comprender y actuar respecto de las nuevas formas de ciberataques, compartiendo información y favoreciendo el intercambio y la transferencia de conocimiento.

En definitiva, la apuesta por la transformación digital a día de hoy, tal como se plantea, obvia o, como mínimo, no se corresponde con la dimensión que se merecería en todos los aspectos relacionados con la ciberseguridad, que no son otros, que aquellos mediante los cuales fortalecemos o debilitamos la confianza de la ciudadanía en relación a las instituciones. Siendo la administración local el primer ladrillo de la sólida construcción que deberían ser las instituciones en democracia.